Auto-attestation pour M-22–18
Interlynk
Il y a deux ans, L'Ordre Exécutif 14028 ("Améliorer la cybersécurité de la Nation") a souligné l'importance de mettre à jour l'hygiène cybernétique de la Nation.
En septembre 2022, le Bureau de la gestion et du budget (OMB) l'a rendu opérationnel en publiant la note M-22–18 ("Amélioration de la sécurité de la chaîne d'approvisionnement logicielle grâce à des pratiques de développement logiciel sécurisé").
Le M-22–18 décrit une partie du plan de mise en œuvre de l'EO14028 pour les agences fédérales.
La note se concentre, à son tour, sur deux artefacts pour établir la sécurité et la maturité des pratiques de développement d'un producteur de logiciel.
Un formulaire d'auto-attestation déclarant les pratiques de développement du producteur
Bill de matériaux logiciel (SBOM) par version de produit déclarant la composition du logiciel
Alors que la spécification et les exigences pour le SBOM ont été bien établies avec les Éléments Minimaux pour un Bill de Matériaux Logiciel de la NTIA, les exigences pour l'auto-attestation ont été en cours de développement (et il sera intéressant de voir comment les délais — juillet pour les logiciels critiques et septembre pour tous les autres logiciels — pourront être gérés).
Le 27 avril, la CISA a publié les détails du formulaire d'auto-attestation pour commentaires publics. Le formulaire s'appuie fortement sur les pratiques et les tâches spécifiées dans le NIST SP 800–218 ("Cadre de développement logiciel sécurisé") révisé à la version 1.1 pour l'Ordre Exécutif.
Bien que les exigences puissent encore changer après la fin de la période de commentaires publics (26 juin 2023), Interlynk a cartographié les exigences d'auto-attestation dans un format facile à suivre pour aider les organisations à prendre de l'avance.
Qui est impacté ?
M-22–18 est une note aux agences fédérales; par conséquent, les exigences ne s'appliquent qu'aux logiciels vendus ou utilisés par elles.
Tous les types suivants de changements de logiciel exigent des producteurs qu'ils soumettent le formulaire d'auto-attestation aux agences concernées :
Logiciel développé après le 14 septembre 2022
Logiciel subissant une révision majeure après le 14 septembre 2022
Logiciel livré en continu (par exemple, logiciel en tant que service)
Deux exceptions décrites sont :
Logiciel auto-développé par les agences fédérales
Logiciel librement disponible (par exemple, open-source)
Format d'attestation
Le formulaire d'attestation peut être rempli en ligne (lien à déterminer par agence) ou via un téléchargement PDF local et un email (email à déterminer par agence).
Une attestation peut s'appliquer à une seule version de produit, plusieurs versions du produit, une ligne de produits entière ou l'ensemble de l'entreprise.
Exigences d'attestation
Le document d'auto-certification fait référence à plusieurs sections du Cadre de Développement de Logiciels Sécurisés (SSDF) et de l'Ordonnance Exécutive 14028. Plus précisément, l'auto-certification nécessite la déclaration des éléments suivants :
Sécurité de l'environnement de développement logiciel
Confiance dans la chaîne d'approvisionnement du code source logiciel
Outils et processus automatisés pour faire confiance à la chaîne d'approvisionnement logicielle
Gestion des données de provenance pour le code interne et celui de tiers
Politique, programme et processus automatisés pour la gestion des vulnérabilités dans le logiciel
Interlynk a mis en correspondance les exigences avec les exemples notionnels référencés par le SSDF ici. Cela peut servir de guide de référence pour la mise en œuvre des contrôles nécessaires.
Commentaires publics pour l'auto-attestation
Le document est ouvert aux commentaires du public jusqu'au 26 juin, et c'est une excellente occasion de partager toute préoccupation ou clarification avec le CISA avant qu'il ne fasse partie des exigences. Pour faire un commentaire publiquement (ou anonymement), rendez-vous sur : https://www.regulations.gov/document/CISA-2023-0001-0001 et cliquez sur "Commentaire." (Lien direct : https://www.regulations.gov/commenton/CISA-2023-0001-0001)
Se préparer
La mission d'Interlynk englobe des divulgations de logiciels faciles, évidentes et automatisées, des contrôles de sécurité et des exigences décrites dans l'EO14028 et le M-22–18 qui sont des étapes progressives vers un écosystème logiciel plus transparent et résilient. Nous sommes ici pour aider toute organisation qui a besoin d'un soutien en clarté, en orientation ou en mise en œuvre de ces contrôles.
Contactez-nous à hello@interlynk.io pour discuter.